Update: Die Audit-Funktion jetzt auch neben IIS 10 einfach unter dem IIS 8 nutzen.
Benötigen Sie einen einfachen Report, um zu überprüfen, ob ein Web-Server gemäß dem aktuellen Stand der Technik gehärtet ist? Wir haben ein Prüf-Script für ein Webserver-Audit entwickelt, das kostenlos genutzt werden darf.
Wie können Webserver gehärtet werden?
Oft werden wir bei unseren Kunden gefragt:
“Was genau sollen wir als Basis für eine Härtung unserer Systemen verwenden?”
Um diese Frage zu beantworten, gibt es mehrere Optionen, die man nutzen kann. Wir empfehlen in der Regel unter anderem folgende Vorgehensweisen:
-
- CIS Benchmarks des Center for Internet Security nutzen
- DISA STIGs (Security Technical Implementation Guides) befolgen
- Sich an die herstellerspezifischen Vorgaben / Empfehlungen halten
- Best Practices anwenden, die sich in der Security-Praxis bewährt haben
- Oder auch eine sinnvolle Kombination der oben genannten Vorgaben/Regeln
Was konkret bedeuten diese Ratschläge? Wie wendet man sie an und wie implementiert man die Vorgaben in das eigene System? Darauf gibt es leider keine simple Antwort.
Denn: Im technischen Umfeld entscheidet am Ende des Tages unter anderem eine sehr konkrete Einstellung einer Komponente, ob ein Angreifer ein System kompromittieren kann oder nicht.
Eine Lösung: das kostenlose Audit-Script der FB Pro GmbH
Um herauszufinden, welche Konfigurationseinstellungen einem erprobten Härtungsstandard entsprechen oder wo nach nachjustiert werden muss, stellen wir unser Audit-Script für Webserver kostenfrei zur Verfügung.
Das kann man hier herunterladen:
Was macht das Audit-Script für Webserver?
Mit unserem Gratis-Tool wird der Microsoft WebServer IIS gegen die CIS-Härtungsvorgaben (die sog. CIS Benchmarks) auditiert. Geprüft werden unter anderem Punkte wie:
- die Nutzung von TLS 1.2 oder höher (wird seit dem 1. Juli 2018 auch im Kreditkarten-Umfeld nach dem Standard PCI-DSS dringend empfohlen)
- die nutzbaren Algorithmen und Schlüssel
- der Speicherort von Webseiten-Inhalten und Log-Daten
Das Audit-Script für den IIS Web-Server, das wir selbst auch intensiv bei unseren Kunden nutzen, überprüft insgesamt rund 40 Konfigurationseinstellungen.
Weitere Features und Verbesserungen sind bereits in der Pipeline. Ein erstes Update soll dementsprechend bald folgen.
Tipp: Auch die Nachweispflichten auf Basis der Datenschutz-Grundverordnung (DS-GVO) zur technischen Sicherheit lassen sich deutlich schneller erbringen, wenn Standards genutzt werden. Im Zweifel werden die bereits fertigen Dokumentationen kopiert und falls notwendig die Abweichungen dokumentiert.
Interesse?
>> Einfach das Audit-Script ausprobieren.
Neue Ideen?
>> Issues bei Github eintragen sich an der Weiterentwicklung beteiligen.
Noch Fragen?
>> Nehmen Sie Kontakt mit uns auf!
Bild: Pixabay